加固系統(tǒng) 對(duì)黑客掃描說“不”
1、掃描工具
攻擊者采用的掃描手段是很多的,可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC等命令和工具進(jìn)行遠(yuǎn)程計(jì)算機(jī)的掃描。其中 SuperScan的掃描速度非常快,而NMAP的掃描非常的專業(yè),不但誤報(bào)很少,而且還可以掃描到很多的信息,包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等。
2、防范原理
要針對(duì)這些掃描進(jìn)行防范,首先要禁止ICMP的回應(yīng),當(dāng)對(duì)方進(jìn)行掃描的時(shí)候,由于無法得到ICMP的回應(yīng),掃描器會(huì)誤認(rèn)為主機(jī)不存在,從而達(dá)到保護(hù)自己的目的。
一、防范措施
1、關(guān)閉端口
關(guān)閉閑置和有潛在危險(xiǎn)的端口。這個(gè)方法比較被動(dòng),它的本質(zhì)是將除了用戶需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投裕?的端口都可能成為攻擊的目標(biāo)。可以說,計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn),而一些系統(tǒng)必要的通訊端口,如訪問網(wǎng)頁需要的HTTP(80端 口);QQ(4000端口)等不能被關(guān)閉。
在Windows NT核心系統(tǒng)(Windows 2000/XP/ 2003)中要關(guān)閉掉一些閑置端口是比較方便的,可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進(jìn)行設(shè)置。計(jì)算機(jī)的 一些網(wǎng)絡(luò)服務(wù)會(huì)有系統(tǒng)分配默認(rèn)的端口,將一些閑置的服務(wù)關(guān)閉掉,其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了。
進(jìn)入“控制面板”→“管理工具”→“服務(wù)”項(xiàng)內(nèi),關(guān)閉掉計(jì)算機(jī)的一些沒有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等),它們對(duì)應(yīng)的端口也被停用了。至于“只開放允許端口的方式”,可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn),設(shè)置的時(shí)候,“只允許” 系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。(圖1)
 |
| 圖1 |
2、屏蔽端口
檢查各端口,有端口掃描的癥狀時(shí),立即屏蔽該端口。這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的,或者說完成起來相當(dāng)困難,需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。
防火墻的工作原理是:首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包,在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前,防火墻有完全的否決權(quán),可以禁止你的電腦接 收Internet上的任何東西。當(dāng)?shù)谝粋€(gè)請(qǐng)求建立連接的包被你的電腦回應(yīng)后,一個(gè)“TCP/IP端口”被打開;端口掃描時(shí),對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī) 建立連接,并逐漸打開各個(gè)服務(wù)所對(duì)應(yīng)的“TCP/IP端口”及閑置端口。防火墻經(jīng)過自帶的攔截規(guī)則判斷,就能夠知道對(duì)方是否正進(jìn)行端口掃描,并攔截掉對(duì)方 發(fā)送過來的所有掃描需要的數(shù)據(jù)包。
現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描,在默認(rèn)安裝后,應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中,否則它會(huì)放行端口掃描,而只是在日志中留下信息而已。
二、方法工具:
1、系統(tǒng)防火墻
現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置,而Windows XP SP2自帶的防火墻也包括該功能。啟用這項(xiàng)功能的設(shè)置非常簡(jiǎn)單:執(zhí)行“控制面板”→“Windows防火墻”,點(diǎn)擊“高級(jí)”選項(xiàng)卡,選擇系統(tǒng)中已經(jīng)建立的 Internet連接方式(寬帶連接),點(diǎn)擊旁邊的“設(shè)置”按鈕打開“高級(jí)設(shè)置”窗口,點(diǎn)擊“ICMP”選項(xiàng)卡,確認(rèn)沒有勾選“允許傳入的回顯請(qǐng)求”,最 后點(diǎn)擊“確定”即可。(圖2)
 |
| 圖2 |
另外,通過其他專業(yè)的防火墻軟件不但可以攔截來自局域網(wǎng)的各種掃描入侵,從軟件的日志中,我們還可以查看到數(shù)據(jù)包的來源和入侵方式等。
2、第三方防火墻
在企業(yè)局域網(wǎng)中部署第三方的防火墻,這些防火墻都自帶了一些默認(rèn)的“規(guī)則”,可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則,這樣可以比較有效地阻止攻擊者的惡意掃描。
比如以天網(wǎng)防火墻為例:首先運(yùn)行天網(wǎng)防火墻,點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕,彈出“自定義IP規(guī)則”窗口,去掉“允許局域網(wǎng)的機(jī)器用 ping命令探測(cè)”選項(xiàng),最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可。 例如創(chuàng)建一條防止Ineternet中的主機(jī)ping的規(guī)則,可以點(diǎn)擊“增加規(guī)則”按鈕,輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功,然后勾選并保存該規(guī)則就可以防止 網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了。(圖3)
 |
| 圖3 |
三、蜜罐技術(shù)
蜜罐工具很多,其原理大同小異,它會(huì)虛擬一臺(tái)有“缺陷”的電腦,等著惡意攻擊者上鉤。在黑客看來被掃描的主機(jī)似乎打開了相應(yīng)的端口,但是卻無法實(shí)施工具,從而保護(hù)了真正的主機(jī),這也可以說是比較另類的防掃描手法。
例如,Defnet HoneyPot 2004,它是一個(gè)著名的“蜜罐”虛擬系統(tǒng),通過Defnet HoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣,但它是為惡意攻擊者布置的陷阱。只不過,這個(gè)陷阱欺騙惡意攻擊者,能夠記錄他都執(zhí)行了那 些命令,進(jìn)行了哪些操作,使用了哪些惡意攻擊工具。通過陷阱的記錄,可以了解攻擊者的習(xí)慣,掌握足夠的攻擊證據(jù),甚至反擊攻擊者。利用該工具部署一個(gè)蜜罐 系統(tǒng)非常簡(jiǎn)單,打開軟件,輸入相應(yīng)的參數(shù)即可。然后它會(huì)隨機(jī)啟動(dòng),如果有惡意的掃描它都會(huì)記錄下來如圖。(圖4)
 |
| 圖4 |
總結(jié):
防掃描,是防網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵的第一步。不管是個(gè)人電腦還是企業(yè)環(huán)境下,預(yù)防來自Internet或者內(nèi)網(wǎng)的惡意掃描是非常重要的,至少可以杜絕來自一般入侵者的騷擾,而這也是網(wǎng)絡(luò)入侵的大多數(shù)。
【編輯推薦】
